Cómo configurar el WiFi de invitados: La guía de segmentación de redes corporativas

Hable con un tono de voz de consultor senior británico, seguro de sí mismo y con autoridad: pausado, claro y directo. No es una conferencia, sino un informe directo de un experto. El ritmo es constante, con pausas naturales entre las secciones: Bienvenido a la serie de informes técnicos de Purple. Le voy a guiar sobre cómo configurar exactamente una red WiFi para invitados que esté correctamente segmentada, sea segura y comercialmente útil. Este no es un tutorial para principiantes. Usted es un responsable de TI, un arquitecto de redes o un CTO, y necesita tomar una decisión este trimestre. Así que vayamos al grano. [medium pause] El problema que tienen la mayoría de los recintos no es que carezcan de WiFi. Es que tienen una red plana única donde los invitados, el personal y los dispositivos IoT comparten el mismo dominio de difusión. Eso es un riesgo de cumplimiento, un riesgo de seguridad y, francamente, una oportunidad comercial perdida. Un hotel con 200 habitaciones, una cadena de tiendas con 50 establecimientos, un estadio que alberga a 40 000 aficionados - todos ellos necesitan lo mismo fundamental: una segmentación de red adecuada. [medium pause] Hablemos de lo que significa realmente la segmentación en la práctica. En su esencia, está creando redes lógicamente separadas en la misma infraestructura física utilizando VLAN - Virtual Local Area Networks. Una VLAN, definida bajo la norma IEEE 802.1Q, etiqueta las tramas Ethernet para que el tráfico de diferentes segmentos de red permanezca aislado en la capa de enlace de datos, incluso cuando atraviesa el mismo switch o punto de acceso físico. Asigna a cada segmento un VLAN ID - por ejemplo, VLAN 10 para el personal, VLAN 20 para dispositivos IoT, VLAN 30 para invitados - y configura sus switches gestionados y puntos de acceso para forzar esa separación. [medium pause] Ahora, la pregunta crítica: ¿cuántas SSID necesita realmente? La respuesta para la mayoría de los recintos empresariales es tres. Una para invitados, una para el personal y una para IoT. Cada SSID se asocia a su propia VLAN. Los invitados solo obtienen acceso a Internet, sin ruta hacia su red corporativa. El personal se autentica mediante 802.1X contra un servidor RADIUS - volveremos a eso más adelante - y obtiene acceso a los recursos internos. Los dispositivos IoT, sus cámaras de CCTV, sus sensores de climatización, sus pantallas inteligentes, se ubican en su propio segmento aislado con reglas de salida estrictamente controladas. Si desea profundizar en el modelo de tres SSID, Purple dispone de una guía detallada exactamente sobre esta arquitectura. [medium pause] Hablemos de autenticación, porque aquí es donde la mayoría de los despliegues fallan. Para WiFi de invitados específicamente, tiene cuatro opciones realistas. Primero, red abierta con un Captive Portal - el enfoque más común y el correcto para espacios que necesitan registrar el consentimiento y datos de primera mano bajo la GDPR. El invitado se conecta, llega a una página de inicio de marca, se autentica mediante inicio de sesión social, correo electrónico o SMS, y usted registra una identidad verificada. Segundo, WPA2-PSK - una frase de contraseña compartida. Sencillo, pero no ofrece una identidad individual, ni un mecanismo de consentimiento, y no se puede revocar el acceso para un dispositivo específico sin cambiar la contraseña para todos. Tercero, WPA3-SAE, que es el sucesor moderno de WPA2 y elimina la vulnerabilidad de ataque de diccionario fuera de línea. Cuarto, 802.1X con RADIUS - el estándar de oro para redes de personal, donde cada usuario se autentica individualmente contra un directorio como Microsoft Entra ID o Okta, y obtiene una credencial de sesión única. Para WiFi de invitados, el enfoque de Captive Portal con cifrado WPA3 en el SSID subyacente es la combinación correcta: obtiene registro de identidad, consentimiento y cifrado moderno. [medium pause] Ahora, RADIUS. IEEE 802.1X es el estándar de control de acceso basado en puertos. Define un modelo de tres partes: el suplicante - que es el dispositivo que intenta conectarse -, el autenticador, que es su punto de acceso o switch, y el servidor de autenticación, que es su servidor RADIUS. Cuando un miembro del personal se conecta, su dispositivo envía las credenciales a través de EAP - el Protocolo de Autenticación Extensible. EAP-TLS utiliza autenticación mutua basada en certificados, la opción más segura. PEAP envuelve EAP en un túnel TLS y le permite utilizar credenciales de usuario y contraseña contra Active Directory o Entra ID. Para la mayoría de los despliegues empresariales, PEAP-MSCHAPv2 contra Microsoft Entra ID o Okta es la opción práctica. Es compatible con los principales fabricantes de hardware - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi - y se integra perfectamente con su proveedor de identidad existente. [medium pause] Permítame guiarle a través de una implementación concreta. Imaginemos un hotel de 200 habitaciones. Tiene puntos de acceso Cisco Meraki desplegados en las habitaciones de los huéspedes, pasillos, salas de conferencias y zonas internas. Configura tres SSIDs en el panel de control de Meraki. El SSID de invitados - llamémosle por el nombre del hotel - es abierto, está asignado a la VLAN 30, con una redirección de Captive Portal a la página de inicio de Purple. Los huéspedes se autentican a través de correo electrónico o inicio de sesión social. Purple captura su consentimiento, almacena el perfil y activa un correo electrónico de bienvenida de forma automática. El SSID de personal es WPA2-Enterprise, asignado a la VLAN 10, que se autentica contra el tenant de Microsoft Entra ID del hotel a través de RADIUS. El SSID de IoT es una red oculta, WPA2-PSK con una contraseña aleatoria robusta, asignada a la VLAN 20, con reglas de firewall que permiten únicamente los puertos de salida específicos que necesita cada tipo de dispositivo. En el firewall de Meraki, añade una regla de capa 3 que bloquea explícitamente el tráfico entre VLANs. Los huéspedes no pueden acceder a la red del personal. El personal no puede acceder al segmento de IoT a menos que usted lo permita explícitamente. Y lo más importante, un dispositivo IoT comprometido - por ejemplo, una televisión inteligente con una vulnerabilidad sin parchear - no puede saltar a su PMS o a sus sistemas de pago. [medium pause] Este último punto es de enorme importancia para el cumplimiento de PCI-DSS. Si sus sistemas de procesamiento de tarjetas de pago se encuentran en la misma red que la WiFi de invitados, estará dentro del alcance de PCI-DSS en toda su infraestructura WiFi. Una correcta segmentación de VLAN, combinada con reglas de firewall documentadas y controles de acceso, es el mecanismo principal para reducir el alcance de su PCI-DSS. El PCI Security Standards Council es explícito al respecto: la segmentación de red no es un requisito de PCI-DSS, pero reduce el número de componentes del sistema dentro de su alcance. Si lo hace bien, podrá simplificar drásticamente su evaluación anual. [medium pause] Hablemos de un segundo escenario: una cadena de tiendas con 50 establecimientos. Cada tienda cuenta con una mezcla de compradores invitados, personal con dispositivos portátiles para inventario y POS, y puntos de conexión IoT que incluyen cartelería digital y sensores ambientales. El desafío aquí radica en la escala y la coherencia. No puede configurar manualmente la red de cada tienda. Necesita una plataforma gestionada en la nube que le permita aplicar una plantilla de configuración coherente en los 50 centros desde un único panel de control. HPE Aruba Central, Cisco Meraki Dashboard y Juniper Mist admiten este modelo. Define su estructura de VLAN y la configuración de SSID una sola vez, las aplica como una plantilla y cada centro hereda la segmentación correcta automáticamente. Purple se integra con todas estas plataformas como una capa superpuesta en la nube - lo que significa que no tiene que reemplazar su hardware existente, sino que añade la capa de análisis y Captive Portal de Purple encima. En esas 50 tiendas, obtiene datos de invitados unificados, una imagen de marca coherente y una gestión de consentimiento centralizada. Purple opera en más de 80.000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está diseñada exactamente para este tipo de escala multisitio. [medium pause] Ahora permítame cubrir los errores de implementación que veo con más frecuencia. Primero: olvidar habilitar el aislamiento de clientes en el SSID de invitados. El aislamiento de clientes evita que un dispositivo de invitado se comunique directamente con otro dispositivo en el mismo SSID. Sin él, un invitado con intenciones maliciosas puede escanear y atacar los dispositivos de otros invitados. Habilítelo. Todas las plataformas principales lo admiten. Segundo: configurar incorrectamente el rango de DHCP. Cada VLAN necesita su propio rango de DHCP con la configuración de puerta de enlace y DNS correcta. Un error común es apuntar el DHCP de la VLAN de invitados al servidor DNS corporativo, lo que filtra nombres de host internos. Utilice un resolvedor de DNS público - o mejor aún, un servicio de DNS filtrado - para el tráfico de invitados. Tercero: no probar el enrutamiento inter-VLAN después de la implementación. Configure sus VLANs, luego pruebe realmente desde un dispositivo de invitado que no pueda acceder a la red del personal. Utilice una herramienta como nmap o simplemente intente navegar a una IP interna. Documente el resultado de la prueba. Cuarto: descuidar la gestión del ancho de banda. El WiFi de invitados en una red plana puede saturar su enlace ascendente y degradar el tráfico operativo y del personal. Aplique límites de ancho de banda por cliente y por SSID. En Cisco Meraki, esto es una única configuración por SSID. En HPE Aruba, se utilizan políticas de modelado de tráfico compatibles con aplicaciones. [medium pause] Sobre el GDPR: si opera en el Reino Unido o la UE, su Captive Portal debe presentar un mecanismo de consentimiento claro y afirmativo antes de recopilar cualquier dato personal. Las casillas marcadas previamente no constituyen un consentimiento válido según el UK GDPR. El consentimiento debe ser granular - con opciones de aceptación independientes para las comunicaciones de marketing frente al registro de acceso a la red. Las opciones de aceptación Conscious-Choice de Purple están diseñadas específicamente para esto: el invitado toma una decisión explícita e informada, y Purple almacena el registro de consentimiento con una marca de tiempo y la versión específica del texto de consentimiento que aceptó. Ese registro de auditoría es lo que necesita si la ICO llama a su puerta. [medium pause] Bien, hagamos una sesión de preguntas y respuestas rápidas sobre las dudas que me plantean con más frecuencia. [short pause] ¿Necesito un punto de acceso físico independiente para cada SSID? No. Los puntos de acceso empresariales modernos admiten múltiples SSIDs en una sola radio. El límite práctico es de unos tres a cuatro SSIDs por radio antes de que empiece a degradarse la eficiencia del tiempo de transmisión debido a la sobrecarga de las tramas de gestión. Tres SSIDs - invitado, personal, IoT - es el número adecuado. [short pause] ¿Puedo utilizar un router doméstico para el WiFi de invitados? No en un entorno empresarial. Los routers domésticos no admiten el etiquetado de VLAN, 802.1X ni la gestión en la nube. Necesita hardware gestionado. Ubiquiti UniFi es el punto de entrada para instalaciones pequeñas; Cisco Meraki, HPE Aruba o Ruckus para cualquier entorno con más de 20 puntos de acceso. [short pause] ¿Cómo gestiono Passpoint y OpenRoaming? Passpoint - también conocido como Hotspot 2.0, definido bajo IEEE 802.11u - permite que los dispositivos se conecten automáticamente a una red WiFi utilizando las credenciales que ya están en el dispositivo, sin necesidad de un portal cautivo. OpenRoaming es la federación global construida sobre Passpoint. Purple admite OpenRoaming bajo el plan Connect, actuando como proveedor de identidad. Para espacios como aeropuertos y centros de transporte, esta es cada vez más la respuesta adecuada para una conectividad de pasajeros sin interrupciones. [short pause] ¿Qué pasa con el filtrado DNS para redes de invitados? Es obligatorio. Un resolutor DNS filtrado bloquea dominios de comando y control de malware, sitios de phishing y contenido inapropiado. También proporciona un registro de consultas DNS para la supervisión de la seguridad. El complemento Shield de Purple incluye el filtrado DNS como parte de la pila de seguridad de la red de invitados. [medium pause] En resumen: configure su red WiFi de invitados con tres VLAN: invitados en la VLAN 30, personal en la VLAN 10, IoT en la VLAN 20. Utilice un portal cautivo con consentimiento explícito de GDPR para los invitados. Autentique al personal a través de 802.1X contra su proveedor de identidad. Aísle los dispositivos IoT con reglas de salida estrictas. Habilite el aislamiento de clientes en el SSID de invitados. Aplique límites de ancho de banda. Pruebe el enrutamiento inter-VLAN después de cada cambio de configuración. Y utilice una plataforma gestionada en la nube para poder aplicar una configuración coherente en todos los centros desde un único lugar. [medium pause] Si desea ir más allá, la plataforma de WiFi para invitados de Purple se integra sobre su hardware existente - ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi - y añade el portal cautivo, la gestión de consentimientos, las analíticas y la capa de automatización de marketing que convierte su infraestructura WiFi en un activo de datos de origen propio. Estamos en purple.ai. La guía escrita completa con diagramas de arquitectura, ejemplos prácticos y listas de comprobación de configuración está enlazada en las notas del programa. Gracias por escucharnos.